Upload File

Download - Introduccion y Conceptos Generales de Seguridad Informatica

Transcript

  • IntroduccinyConceptosGeneralesdelaSeguridadInformtica

    http://recursostic.educacion.es/observatorio/web/eu/software/softwaregeneral/1040introduccionalaseguridadinformatica?showall=1

    CuandosehabladeseguridadenelmbitodelasTICamenudoseconfundenlosconceptosdeseguridad de la informacin y seguridad informtica. Y siendo ambos realmente importantes ysimilares,haydiferenciasentreellos.

    En este artculo hablaremos sobre los conceptos de seguridad de la informacin y seguridadinformticayexplicaremoslospilaressobrelosquesebasalaseguridaddelainformacin.

    Tambinrepasaremosloselementosvulnerablesdeunsistemainformtico,elconceptodeamenaza,fuentesdeamenazasytipos,ascomolaspolticasdeseguridadqueadoptanlasorganizacionesparaasegurarsussistemasominimizarelimpactoquestaspudieranocasionar.

    Seguridaddelainformacin/SeguridadinformticaExistenmuchasdefinicionesdeltrminoseguridad.Simplificando,yengeneral,podemosdefinir laseguridadcomo:"Caractersticaqueindicaqueunsistemaestalibredetodopeligro,daooriesgo."(Villaln)

    Cuandohablamosde seguridaddelainformacin estamosindicandoquedichainformacintieneunarelevanciaespecialenuncontextodeterminadoyque,portanto,hayqueproteger.

    La Seguridad de la Informacin se puede definir como conjunto de medidas tcnicas,organizativasylegalesquepermitenalaorganizacinasegurarlaconfidencialidad,integridadydisponibilidaddesusistemadeinformacin.

    Hastalaaparicinydifusindelusodelossistemasinformticos,todalainformacindeintersdeunaorganizacin se guardaba en papel y se almacenaba en grandes cantidades de abultadosarchivadores.Datosdelosclientesoproveedoresdelaorganizacin,odelosempleadosquedabanregistradosenpapel,contodoslosproblemasqueluegoacarreabasualmacenaje,transporte,accesoyprocesado.

    Lossistemasinformticospermitenladigitalizacindetodoestevolumendeinformacinreduciendoelespacioocupado,pero,sobretodo,facilitandosuanlisisyprocesado.Seganaen'espacio',acceso,rapidezenelprocesadodedichainformacinymejorasenlapresentacindedichainformacin.

    Peroaparecenotrosproblemasligadosaesasfacilidades.Siesmsfciltransportarlainformacintambinhaymsposibilidadesdequedesaparezca'porelcamino'.Siesmsfcilaccederaellatambinesmsfcilmodificarsucontenido,etc.

    Desdelaaparicindelosgrandessistemasaisladoshastanuestrosdas,enlosqueeltrabajoenredeslohabitual,losproblemasderivadosdelaseguridaddelainformacinhanidotambincambiando,evolucionando, pero estn ah y las soluciones han tenido que ir adaptndose a los nuevosrequerimientostcnicos.Aumentalasofisticacinenelataqueyelloaumentalacomplejidaddelasolucin,perolaesenciaeslamisma.

    Existentambindiferentesdefinicionesdeltrmino SeguridadInformtica.DeellasnosquedamosconladefinicinofrecidaporelestndarparalaseguridaddelainformacinISO/IEC27001,quefueaprobadoypublicadoenoctubrede2005porlaInternationalOrganizationforStandardization(ISO)yporlacomisinInternationalElectrotechnicalCommission(IEC).

    Laseguridad informticaconsisteen la implantacindeunconjuntodemedidas tcnicasdestinadasapreservarlaconfidencialidad,laintegridadyladisponibilidaddelainformacin,pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la

    Pg.1de18

  • fiabilidadyelnorepudio.

    Comovemoseltrminoseguridaddelainformacinesmasamplioyaqueenglobaotrosaspectosrelacionadosconlaseguridadmasalldelospuramentetecnolgicos.

    Seguridaddelainformacin:modeloPDCADentrodelaorganizacineltemadelaseguridaddelainformacinesuncaptulomuyimportantequerequierededicarletiempoyrecursos.LaorganizacindebeplantearseunSistemadeGestindelaSeguridaddelaInformacin(SGSI).

    ElobjetivodeunSGSIesprotegerlainformacinyparaelloloprimeroquedebehaceresidentificarlosactivosdeinformacinquedebenserprotegidosyenqugrado.

    Luego debe aplicarse el plan PDCA (PLAN DO CHECK ACT), es decir Planificar, Hacer,Verificar,Actuaryvolverarepetirelciclo.

    Seentiendelaseguridadcomounprocesoquenuncaterminayaquelosriesgosnuncaseeliminan,pero sepuedengestionar. De los riesgossedesprendeque los problemasdeseguridadnosonnicamentedenaturalezatecnolgica,yporesemotivonuncaseeliminanensutotalidad.

    UnSGSIsiemprecumplecuatronivelesrepetitivosquecomienzanporPlanificaryterminanenActuar,consiguiendoasmejorarlaseguridad.

    PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las polticas deseguridad,sehaceelanlisisderiesgos,sehacelaseleccindecontrolesyelestadodeaplicabilidad

    HACER (Do):consisteenimplementarelsistemadegestindeseguridaddelainformacin,implementarelplanderiesgoseimplementarloscontroles.

    VERIFICAR(Check):consisteenmonitorearlasactividadesyhacerauditorasinternas.

    ACTUAR(Act):consisteenejecutartareasdemantenimiento,propuestasdemejora,accionespreventivasyaccionescorrectivas.

    BasesdelaSeguridadInformticaFiabilidad

    Existeunafrasequesehahechofamosadentrodelmundodelaseguridad.EugeneSpafford,profesordecienciasinformticasenlaUniversidadPurdue(Indiana,EEUU)yexpertoenseguridaddedatos,dijoqueelnicosistemaseguroesaquelqueestapagadoydesconectado,enterradoenunrefugio

    Pg.2de18

  • de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bienarmados.Anas,yonoapostaramividaporl.

    Hablardeseguridadinformticaentrminosabsolutosesimposibleyporesemotivosehablamasbiendefiabilidaddelsistema,que,enrealidadesunarelajacindelprimertrmino.

    Definimos la Fiabilidad como la probabilidaddequeunsistemasecomporte tal y comoseesperadel.

    Engeneral,unsistemaserseguroofiablesipodemosgarantizartresaspectos:

    Confidencialidad:accesoalainformacinsolomedianteautorizacinydeformacontrolada.

    Integridad:modificacindelainformacinsolomedianteautorizacin.

    Disponibilidad:lainformacindelsistemadebepermaneceraccesiblemedianteautorizacin.

    ExisteotrapropiedaddelossistemasqueeslaConfiabilidad,entendidacomoniveldecalidaddelservicioqueseofrece. Peroestapropiedad,quehacereferenciaa la disponibilidad, estaraalmismonivelquelaseguridad.EnnuestrocasomantenemoslaDisponibilidadcomounaspectodelaseguridad.

    Confidencialidad

    EngeneraleltrminoconfidencialhacereferenciaaQuesehaceosediceenconfianzaoconseguridadrecprocaentredosomspersonas.(http://buscon.rae.es)

    Entrminosdeseguridaddelainformacin,laconfidencialidadhacereferenciaalanecesidaddeocultaromantenersecretosobredeterminadainformacinorecursos.

    El objetivo de la confidencialidad es, entonces, prevenir la divulgacin no autorizada de lainformacin.

    Engeneral,cualquierempresapblicaoprivadaydecualquiermbitodeactuacinrequierequeciertainformacinnoseaaccedidapordiferentesmotivos.Unodelosejemplosmastpicoseseldelejrcitodeunpas.Adems,essabidoqueloslogrosmasimportantesenmateriadeseguridadsiemprevanligadosatemasestratgicosmilitares.

    Porotraparte, determinadasempresasamenudodesarrollandiseosquedebenprotegerdesuscompetidores.Lasostenibilidaddelaempresaascomosuposicionamientoenelmercadopuedendependerdeformadirectadelaimplementacindeestosdiseosy,poresemotivo,debenprotegerlosmediantemecanismosdecontroldeaccesoqueasegurenlaconfidencialidaddeesasinformaciones.

    UnejemplotpicodemecanismoquegaranticelaconfidencialidadeslaCriptografa,cuyoobjetivoes

    Pg.3de18

  • cifraroencriptarlosdatosparaqueresultenincomprensiblesaaquellosusuariosquenodisponendelospermisossuficientes.

    Pero,inclusoenestacircunstancia,existeundatosensiblequehayqueprotegeryesla clave deencriptacin.Estaclaveesnecesariaparaqueelusuarioadecuadopuedadescifrarlainformacinrecibidayenfuncindeltipodemecanismodeencriptacinutilizado,laclavepuede/debeviajarporlared,pudiendosercapturadamedianteherramientasdiseadasparaello.Siseproduceestasituacin,laconfidencialidaddelaoperacinrealizada(seabancaria,administrativaodecualquiertipo)quedacomprometida.

    Integridad

    Engeneral, el trminointegridadhacereferenciaaunacualidaddentegro e indica"Quenocarecedeningunadesuspartes."yrelativoapersonas"Recta,proba,intachable.".

    En trminos de seguridad de la informacin, la integridad hace referencia a la fidelidad de lainformacin o recursos, y normalmente se expresa en lo referente a prevenir el cambioimpropioodesautorizado.

    El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de lainformacin.

    Laintegridadhacereferenciaa:

    laintegridaddelosdatos(elvolumendelainformacin)

    laintegridaddelorigen(lafuentedelosdatos,llamadaautenticacin)

    Es importante hacer hincapi en la integridad del origen, ya que puede afectar a su exactitud,credibilidadyconfianzaquelaspersonasponenenlainformacin.

    Amenudoocurrequealhablardeintegridaddelainformacinnosedaenestosdosaspectos.

    Porejemplo,cuandounperidicodifundeunainformacincuyafuentenoescorrecta,podemosdecirque se mantiene la integridadde la informacinya que se difunde por medio impreso, pero sinembargo,alserlafuentedeesainformacinerrneanoseestmanteniendolaintegridaddelorigen,yaquelafuentenoescorrecta.

    Disponibilidad

    Engeneral,eltrminodisponibilidadhacereferenciaaunacualidaddedisponibleydichodeunacosa"Quesepuededisponerlibrementedeellaoqueestlistaparausarseoutilizarse."

    Entrminosdeseguridaddelainformacin,ladisponibilidadhacereferenciaaquelainformacindelsistemadebepermaneceraccesibleaelementosautorizados.

    Elobjetivodeladisponibilidades,entonces,prevenirinterrupcionesnoautorizadas/controladasdelosrecursosinformticos.

    En trminos de seguridad informtica un sistema est disponible cuando su diseo eimplementacinpermitedeliberadamentenegarelaccesoadatososerviciosdeterminados.Esdecir,unsistemaesdisponiblesipermitenoestardisponible.

    Yunsistemanodisponibleestanmalocomonotenersistema.Nosirve.

    Comoresumendelasbasesdelaseguridadinformticaquehemoscomentado,podemosdecirquelaseguridadconsisteenmantenerelequilibrioadecuadoentreestostresfactores.Notienesentidoconseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuarioadministradorpuedaaccederal,yaqueseestnegandoladisponibilidad.

    Dependiendodelentornodetrabajoysusnecesidadessepuededarprioridadaunaspectodelaseguridad o a otro. En ambientes militares suele ser siempre prioritaria la confidencialidadde lainformacinfrentealadisponibilidad.Aunquealguienpuedaaccederaellaoinclusopuedaeliminarla

    Pg.4de18

  • nopodrconocersucontenidoyreponerdichainformacinsertansencillocomorecuperarunacopiadeseguridad(silascosasseestnhaciendobien).

    En ambientes bancarios es prioritaria siempre la integridad de la informacin frente a laconfidencialidadodisponibilidad.Seconsideramenosdainoqueunusuariopuedaleerelsaldodeotrousuarioaquepuedamodificarlo.

    MecanismosbsicosdeseguridadAutenticacin

    DefinimoslaAutenticacincomolaverificacindelaidentidaddelusuario,generalmentecuandoentraenelsistemaolared,oaccedeaunabasededatos.

    Normalmenteparaentrarenelsistemainformticoseutilizaunnombredeusuarioyunacontrasea.Pero,cadavezmsseestnutilizandootrastcnicasmasseguras.

    Esposibleautenticarsedetresmaneras:

    1. Porloqueunosabe(unacontrasea)

    2. Porloqueunotiene(unatarjetamagntica)

    3. Porloqueunoes(lashuellasdigitales)

    Lautilizacindemsdeunmtodoalavezaumentalasprobabilidadesdequelaautenticacinseacorrecta.Peroladecisindeadoptarmsdeunmododeautenticacinporpartedelasempresasdebeestarenrelacinalvalordelainformacinaproteger.

    La tcnica ms usual (aunque no siempre bien) es la autenticacin utilizando contraseas. Estemtodosermejoropeordependiendodelascaractersticasdelacontrasea.Enlamedidaquelacontraseaseamsgrandeycomplejaparaseradivinada,msdifcilserburlarestatcnica.

    Adems,lacontraseadebeserconfidencial.Nopuedeserconocidapornadiemsqueelusuario.Muchasvecessucedequelosusuariosseprestanlascontraseasolasanotanenunpapelpegadoenelescritorioyquepuedeserledoporcualquierotrousuario,comprometiendoalaempresayalpropiodueo,yaquelaaccin/esquesehaganconesacontraseaes/sonresponsabilidaddeldueo.

    Paraquelacontraseaseadifcildeadivinardebetenerunconjuntodecaracteresamplioyvariado(conminsculas, maysculasy nmeros). El problemaes que los usuarios difcilmente recuerdancontraseas tan elaboradas y utilizan (utilizamos) palabras previsibles (el nombre, el apellido, elnombredeusuario,elgrupomusicalpreferido,...),quefacilitanlatareaaquinquiereentrarenelsistemasinautorizacin.

    Autorizacin

    Definimosla Autorizacin como elprocesoporelcualsedeterminaqu,cmoycundo,unusuarioautenticadopuedeutilizarlosrecursosdelaorganizacin.

    El mecanismoo el grado de autorizacin puede variar dependiendo de qu sea lo que se estprotegiendo.Notodalainformacindelaorganizacinesigualdecrtica.Losrecursosengeneralylosdatosenparticular,seorganizanennivelesycadaniveldebetenerunaautorizacin.

    Dependiendodel recurso laautorizacinpuedehacersepormediode la firmaenun formularioomedianteunacontrasea,perosiempreesnecesarioquedichaautorizacinquederegistradaparasercontroladaposteriormente.

    Enelcasodelosdatos,laautorizacindebeasegurarlaconfidencialidadeintegridad,yaseadandoodenegandoelaccesoenlectura,modificacin,creacinoborradodelosdatos.

    Por otra parte, slo sedebedar autorizacinaacceder aun recursoaaquellos usuarios que lonecesitenparahacersutrabajo,ysinoselenegar.Aunquetambinesposibledarautorizacionestransitoriasomodificarlasamedidaquelasnecesidadesdelusuariovaren.

    Pg.5de18

  • Administracin

    DefinimoslaAdministracincomolaaccinqueestablece,mantieneyeliminalasautorizacionesdelosusuariosdelsistema,losrecursosdelsistemaylasrelacionesusuariosrecursosdelsistema.

    Los administradores son responsables de transformar las polticas de la organizacin y lasautorizacionesotorgadasaunformatoquepuedaserusadoporelsistema.

    Laadministracinde laseguridad informticadentrode la organizacinesunatareaencontinuocambioyevolucinyaquelastecnologasutilizadascambianmuyrpidamenteyconellaslosriesgos.

    Normalmente todos los sistemas operativos que se precian disponen de mdulos especficos deadministracindeseguridad.Ytambinexistesoftwareexternoyespecficoquesepuedeutilizarencadasituacin.

    Auditorayregistro

    DefinimoslaAuditoracomolacontinuavigilanciadelosserviciosenproduccinyparaelloserecabainformacinyseanaliza.

    Esteprocesopermitealosadministradoresverificarquelastcnicasdeautenticacinyautorizacinutilizadasserealizansegnloestablecidoysecumplenlosobjetivosfijadosporlaorganizacin.

    Definimosel Registro como elmecanismoporelcualcualquierintentodeviolarlasreglasdeseguridadestablecidasquedaalmacenadoenunabasedeeventosparaluegoanalizarlo.

    Peroauditaryregistrarnotienesentidosinovanacompaadosdeunestudioposteriorenelqueseanalicelainformacinrecabada.

    Monitorear la informacin registrada o auditar se puede realizar mediante medios manuales oautomticos,yconunaperiodicidadquedependerdelocrticaquesealainformacinprotegidaydelnivelderiesgo.

    Mantenimientodelaintegridad

    DefinimoselMantenimientodelaintegridaddelainformacincomoelconjuntodeprocedimientosestablecidosparaevitarocontrolarquelosarchivossufrancambiosnoautorizadosyquelainformacinenviadadesdeunpuntolleguealdestinoinalterada.

    Dentrodelastcnicasmsutilizadasparamantener(ocontrolar)laintegridaddelosdatosestn:usodeantivirus,encriptacinyfuncioneshash.

    VulnerabilidadesdeunsistemainformticoEnunsistemainformticoloquequeremosprotegersonsusactivos,esdecir,losrecursosqueformanpartedelsistemayquepodemosagruparen:

    Hardware:elementosfsicosdelsistemainformtico,talescomoprocesadores,electrnicaycableadodered,mediosdealmacenamiento(cabinas,discos,cintas,DVDs,...).

    Software:elementoslgicosoprogramasqueseejecutansobreelhardware,tantosieselpropiosistemaoperativocomolasaplicaciones.

    Datos:comprendenlainformacinlgicaqueprocesaelsoftwarehaciendousodelhardware.Engeneralserninformacionesestructuradasenbasesdedatosopaquetesdeinformacinqueviajanporlared.

    Otros:fungibles,personas,infraestructuras,..aquellosquese'usanygastan'comopuedeserlatintaypapelenlasimpresoras,lossoportestipoDVDoinclusocintassilascopiassehacenenesemedio,etc.

    Deellos losmascrticosson losdatos, el hardwareyel software. Esdecir, losdatosqueestn

    Pg.6de18

  • almacenadosenelhardwareyquesonprocesadosporlasaplicacionessoftware.

    Inclusodetodosellos,elactivomscrticosonlosdatos.Elrestosepuedereponerconfacilidadylos datos ... sabemos quedependen de que la empresa tenga unabuenapoltica de copias deseguridadyseacapazdereponerlosenelestadomsprximoalmomentoenqueseprodujo laprdida.Estopuedesuponerparalaempresa,porejemplo,ladificultadoimposibilidaddereponerdichosdatosconloqueconllevaradeprdidadetiempoydinero.

    Vulnerabilidad:definicinyclasificacin

    Definimos Vulnerabilidad como debilidaddecualquier tipoquecompromete laseguridaddelsistemainformtico.

    Lasvulnerabilidadesdelossistemasinformticoslaspodemosagruparenfuncinde:

    Diseo

    Debilidadeneldiseodeprotocolosutilizadosenlasredes.

    Polticasdeseguridaddeficienteseinexistentes.

    Implementacin

    Erroresdeprogramacin.

    Existenciadepuertastraserasenlossistemasinformticos.

    Descuidodelosfabricantes.

    Uso

    Malaconfiguracindelossistemasinformticos.

    Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables deinformtica.

    Disponibilidaddeherramientasquefacilitanlosataques.

    Limitacingubernamentaldetecnologasdeseguridad.

    Vulnerabilidaddeldacero

    Seincluyenenestegrupoaquellasvulnerabilidadesparalascualesnoexisteunasolucinconocida,perosesabecomoexplotarla.

    Vulnerabilidadesconocidas

    Vulnerabilidaddedesbordamientodebuffer.

    Siunprogramanocontrola lacantidaddedatosquesecopianenbuffer, puedellegarunmomentoenquesesobrepaselacapacidaddelbufferylosbytesquesobransealmacenanenzonasdememoriaadyacentes.

    En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios deadministrador.

    Vulnerabilidaddecondicindecarrera(racecondition)

    Sivariosprocesosaccedenalmismotiempoaunrecursocompartidopuedeproducirseeste

    Pg.7de18

  • tipodevulnerabilidad.Eselcasotpicodeunavariable,quecambiasuestadoypuedeobtenerdeestaformaunvalornoesperado.

    VulnerabilidaddeCrossSiteScripting(XSS)

    Es una vulnerabilidad de las aplicaciones web, que permite inyectar cdigo VBSript oJavaScript en pginas web vistas por el usuario. El phishing es una aplicacin de estavulnerabilidad.EnelphishinglavctimacreequeestaccediendoaunaURL(laveenlabarradedirecciones),peroenrealidadestaccediendoaotrositiodiferente.Sielusuariointroducesuscredencialesenestesitioselasestenviandoalatacante.

    Vulnerabilidaddedenegacindelservicio

    Ladenegacindeserviciohacequeunservicioorecursonoestdisponibleparalosusuarios.Sueleprovocarlaprdidadelaconectividaddelaredporelconsumodelanchodebandadelareddelavctimaosobrecargadelosrecursosinformticosdelsistemadelavctima.

    Vulnerabilidaddeventanasengaosas(WindowSpoofing)

    Lasventanasengaosassonlasquedicenqueereselganadordetalocualcosa,locualesmentiraylonicoquequierenesqueelusuariodeinformacin.Hayotrotipodeventanasquesilassiguesobtienendatosdelordenadorparaluegorealizarunataque.

    En http://www.cert.org/stats/ hay disponibles unas tablas que indican el nmero devulnerabilidadesdetectadasporao.Esinteresantevisitarlawebdevezencuandoycomprobarelelevadonmerodevulnerabilidadesquesevandetectando.Habraquevercuntasnosedetectan...

    HerramientasEnel casodeservidoresLinux/Unix parahacerel anlisis devulnerabilidadessesueleutilizar elprogramaNessus.

    NessusesdearquitecturaclienteservidorOpenSource,disponedeunabasededatosdepatronesdeataquespara lanzar contraunamquinaoconjuntodemquinasconel objetivode localizar susvulnerabilidades.

    ExistesoftwarecomercialqueutilizaNessuscomomotorparaelanlisis.Porejemploest Catbird(www.catbird.com)queusaunportalparalagestincentralizadadelasvulnerabilidades,analizaexternamente e internamente la red teniendo en cuenta los accesos inalmbricos. Adems hacemonitoreo de servicios de red como el DNS y la disponibilidad de los portales web de lasorganizaciones.

    EnotrossistemastipoWindowsest el MBSA MicrosoftBaselineSecurityAnalyzer quepermiteverificarlaconfiguracindeseguridad,detectandolosposiblesproblemasdeseguridadenelsistemaoperativoylosdiversoscomponentesinstalados.

    Deququeremosprotegerelsistemainformtico?Yahemoshabladodelosprincipalesactivosoelementosfundamentalesdelsistemainformticoquesonvulnerablesyahoraveremosaqusonvulnerablesdichoselementos.

    Comenzamosdefiniendoelconceptodeamenaza.

    Entendemos la amenaza como el escenario en el que una accin o suceso, ya sea o nodeliberado,comprometelaseguridaddeunelementodelsistemainformtico.

    Cuandoaunsistemainformticoseledetectaunavulnerabilidadyexisteunaamenazaasociadaadichavulnerabilidad,puedeocurrirqueelsucesooeventoseproduzcaynuestrosistemaestarenriesgo.

    Sieleventoseproduceyelriesgoqueeraprobableahoraesreal,elsistemainformticosufrirdaosquehabrquevalorarcualitativaycuantitativamente,yestosellama'impacto'.

    Pg.8de18

  • Integrandoestosconceptospodemosdecirqueuneventoproducidoenelsistemainformticoqueconstituyeunaamenaza,asociadaaunavulnerabilidaddelsistema,produceunimpactosobrel.

    Siqueremoseliminarlasvulnerabilidadesdelsistemainformticooqueremosdisminuirelimpactoquepuedanproducirsobrel,hemosdeprotegerelsistemamedianteunaseriedemedidasquepodemosllamardefensasosalvaguardas.

    PolticasdeseguridadCmopodemosprotegerelsistemainformtico?

    Loprimeroquehemosdehaceresunanlisisdelasposiblesamenazasquepuedesufrirelsistemainformtico,unaestimacindelasprdidasqueesasamenazaspodransuponeryunestudiodelasprobabilidadesdequeocurran.

    Apartirdeesteanlisishabrquedisearunapolticadeseguridadenlaqueseestablezcanlasresponsabilidadesyreglasaseguirparaevitaresasamenazasominimizarlosefectossiselleganaproducir.

    Definimos Poltica de seguridad como un documento sencillo que define las directricesorganizativasenmateriadeseguridad(Villaln).

    La poltica de seguridad se implementa mediante una serie de mecanismos de seguridad queconstituyen las herramientas para la proteccin del sistema. Estos mecanismos normalmente seapoyanennormativasquecubrenreasmasespecficas.

    Esquemticamente:

    Losmecanismosdeseguridadsedividenentresgrupos:

    1. Prevencin:

    Evitandesviacionesrespectoalapolticadeseguridad.

    Ejemplo:utilizarelcifradoenlatransmisindelainformacinevitaqueunposibleatacantecapture(yentienda)informacinenunsistemadered.

    2. Deteccin:

    Detectanlasdesviacionessiseproducen,violacionesointentosdeviolacindelaseguridaddelsistema.

    Ejemplo:laherramientaTripwireparalaseguridaddelosarchivos.

    Pg.9de18

  • 3. Recuperacin:

    Seaplicancuandosehadetectadounaviolacindelaseguridaddelsistemapararecuperarsunormalfuncionamiento.

    Ejemplo:lascopiasdeseguridad.

    Dentrodelgrupodemecanismosdeprevencintenemos:

    Mecanismosdeidentificacineautenticacin

    Permiten identificar de forma nica 'entidades' del sistema. El proceso siguiente es laautenticacin,esdecir,comprobarquelaentidadesquiendiceser.

    Pasadosestosdosfiltros,laentidadpuedeaccederaunobjetodelsistema.

    Enconcretolossistemasdeidentificacinyautenticacindelosusuariossonlosmecanismosmasutilizados.

    Mecanismosdecontroldeacceso

    Losobjetosdelsistemadebenestarprotegidosmediantemecanismosdecontroldeaccesoqueestablecenlostiposdeaccesoalobjetoporpartedecualquierentidaddelsistema.

    Mecanismosdeseparacin

    Sielsistemadisponedediferentesnivelesdeseguridadsedebenimplementarmecanismosquepermitansepararlosobjetosdentrodecadanivel.

    Losmecanismosdeseparacin,enfuncindecomoseparanlosobjetos,sedividenenlosgrupossiguientes:separacinfsica,temporal,lgica,criptogrficayfragmentacin.

    Mecanismosdeseguridadenlascomunicaciones

    La proteccin de la informacin (integridad y privacidad) cuando viaja por la red esespecialmenteimportante.Clsicamenteseutilizanprotocolosseguros,tipoSSHoKerberos,quecifraneltrficoporlared.

    Polticasdeseguridad

    ElobjetivodelaPolticadeSeguridaddeInformacindeunaorganizacines,porunlado,mostrarelposicionamientodelaorganizacinconrelacinalaseguridad,yporotroladoservirdebaseparadesarrollarlosprocedimientosconcretosdeseguridad.

    Laempresadebedisponerdeundocumentoformalmenteelaboradosobreeltemayquedebeserdivulgadoentretodoslosempleados.

    Noes necesario un grannivel de detalle, pero tampocohadequedar comounadeclaracindeintenciones.Lomsimportanteparaqueestassurtanefectoeslograrlaconcienciacin,entendimientoycompromisodetodoslosinvolucrados.

    Laspolticasdebencontenerclaramentelaspracticasquesernadoptadasporlacompaa.Yestaspolticasdebenserrevisadas,ysiesnecesarioactualizadas,peridicamente.

    Laspolticasdeben:

    definir qu es seguridad de la informacin, cuales son sus objetivos principales y suimportanciadentrodelaorganizacin

    mostrarelcompromisodesusaltoscargosconlamisma

    definirlafilosofarespectoalaccesoalosdatos

    establecerresponsabilidadesinherentesaltema

    establecerlabaseparapoderdisearnormasyprocedimientosreferidosa

    Pg.10de18

  • Organizacindelaseguridad

    Clasificacinycontroldelosdatos

    Seguridaddelaspersonas

    Seguridadfsicayambiental

    Plandecontingencia

    Prevencinydeteccindevirus

    Administracindeloscomputadores

    A partir de las polticas se podr comenzar a desarrollar, primero las normas, y luego losprocedimientosdeseguridadquesernlaguaparalarealizacindelasactividades.

    Lapolticadeseguridadcomprendetodaslasreglasdeseguridadquesigueunaorganizacin(enelsentidogeneraldelapalabra).Porlotanto, laadministracindelaorganizacinencuestindebeencargarsededefinirla,yaqueafectaatodoslosusuariosdelsistema.

    Laseguridadinformticadeunacompaadependedequelosempleados(usuarios)aprendanlasreglasatravsdesesionesdecapacitacinydeconcienciacin.

    Sinembargo,laseguridaddebeirmsalldelconocimientodelosempleadosycubrirlassiguientesreas:

    Unmecanismodeseguridadfsicaylgicaqueseadaptealasnecesidadesdelacompaayalusodelosempleados

    Unprocedimientoparaadministrarlasactualizaciones

    Unaestrategiaderealizacindecopiasdeseguridadplanificadaadecuadamente

    Unplanderecuperacinluegodeunincidente

    Unsistemadocumentadoactualizado

    Porlotantoycomoresumen,lapolticadeseguridadeseldocumentodereferenciaquedefinelosobjetivosdeseguridadylasmedidasquedebenimplementarseparatenerlacertezadealcanzarestosobjetivos.

    Amenazas

    Clasificacindelasamenazas

    Deformageneralpodemosagruparlasamenazasen:

    Amenazasfsicas

    Amenazaslgicas

    Estasamenazas,tantofsicascomolgicas,sonmaterializadasbsicamentepor:

    laspersonas

    programasespecficos

    catstrofesnaturales

    Podemostenerotroscriteriosdeagrupacindelasamenazas,comoson:

    Origendelasamenazas

    Amenazasnaturales:inundacin,incendio,tormenta,falloelctrico,explosin,etc...

    Amenazas de agentes externos: virus informticos, ataques de una organizacin criminal,sabotajesterroristas,disturbiosyconflictossociales,intrusosenlared,robos,estafas,etc...

    Pg.11de18

  • Amenazas de agentes internos: empleados descuidados con una formacin inadecuadaodescontentos,erroresenlautilizacindelasherramientasyrecursosdelsistema,etc...

    Intencionalidaddelasamenazas

    Accidentes:averasdelhardwareyfallosdelsoftware,incendio,inundacin,etc...

    Errores:erroresdeutilizacin,deexplotacin,deejecucindeprocedimientos,etc...

    Actuacionesmalintencionadas:robos,fraudes,sabotajes,intentosdeintrusin,etc...

    Naturalezadelasamenazas

    Laagrupacindelasamenazasatendiendoalfactordeseguridadquecomprometeneslasiguiente:

    Interceptacin

    Modificacin

    Interrupcin

    Fabricacin

    1. Flujonormaldelainformacin:secorrespondeconelesquemasuperiordelafigura.

    Segarantiza:

    Confidencialidad:nadienoautorizadoaccedealainformacin.

    Integridad:losdatosenviadosnosemodificanenelcamino.

    Disponibilidad:larecepcinyaccesoescorrecto.

    2. Interceptacin: acceso a la informacin por parte de personas no autorizadas. Uso deprivilegiosnoadquiridos.

    Deteccindifcil,nodejahuellas.

    Segarantiza:

    Integridad.

    Disponibilidad

    Nosegarantiza:

    Confidencialidad:esposiblequealguiennoautorizadoaccedaalainformacin

    Ejemplos:

    Copiasilcitasdeprogramas

    Pg.12de18

  • Escuchaenlneadedatos

    3. Modificacin:accesonoautorizadoquecambiaelentornoparasubeneficio.

    Deteccindifcilsegncircunstancias.

    Segarantiza:

    Disponibilidad:larecepcinescorrecta.

    Nosegarantiza:

    Integridad:losdatosenviadospuedensermodificadosenelcamino.

    Confidencialidad:alguiennoautorizadoaccedealainformacin.

    Ejemplos:

    Modificacindebasesdedatos

    Modificacindeelementosdelhardware

    4. Interrupcin:puedeprovocarqueunobjetodelsistemasepierda,quedenoutilizableonodisponible.

    Deteccininmediata.

    Segarantiza:

    Confidencialidad:nadienoautorizadoaccedealainformacin.

    Integridad:losdatosenviadosnosemodificanenelcamino.

    Pg.13de18

  • Nosegarantiza:

    Disponibilidad:puedequelarecepcinnoseacorrecta.

    Ejemplos:

    Destruccindelhardware

    Borradodeprogramas,datos

    Fallosenelsistemaoperativo

    5. Fabricacin:puedeconsiderarsecomouncasoconcretodemodificacinyaqueseconsigueunobjetosimilaralatacadodeformaquenoresultesencillodistinguirentreobjetooriginalyelfabricado.

    Deteccindifcil.Delitosdefalsificacin.

    Enestecasosegarantiza:

    Confidencialidad:nadienoautorizadoaccedealainformacin.

    Integridad:losdatosenviadosnosemodificanenelcamino.

    Disponibilidad:larecepcinescorrecta.

    Ejemplos:

    Aadirtransaccionesenred

    Aadirregistrosenbasededatos

    Amenazasprovocadasporpersonas

    Lamayorpartedelosataquesalossistemasinformticossonprovocados,intencionadamenteono,porlaspersonas.

    Qusebusca?

    Engeneralloquesebuscaesconseguirunniveldeprivilegioenelsistemaquelespermitarealizaraccionessobreelsistemanoautorizadas.

    Podemosclasificarlaspersonas'atacantes'endosgrupos:

    Activos: su objetivo es hacer dao de alguna forma. Eliminar informacin, modificar osustraerlaparasuprovecho.

    Pasivos:suobjetivoescuriosearenelsistema.

    Repasamosahoratodoslostiposdepersonasquepuedenconstituirunaamenazaparaelsistemainformticosinentrarendetalles:

    Pg.14de18

  • Personaldelapropiaorganizacin

    Exempleados

    Curiosos

    Crackers

    Terroristas

    Intrusosremunerados

    Amenazasfsicas

    Dentrodelasamenazasfsicaspodemosenglobarcualquiererrorodaoenelhardwarequesepuedepresentarencualquiermomento.Porejemplo,daosendiscosduros,enlosprocesadores,erroresdefuncionamientodelamemoria,etc.Todoselloshacenquelainformacinonoestaccesibleonoseafiable.

    Otrotipodeamenazasfsicassonlascatstrofesnaturales.Porejemplohayzonasgeogrficasdelplanetaenlasquelasprobabilidadesdesufrirterremotos,huracanes,inundaciones,etc,sonmuchomaselevadas.

    EnestoscasosenlosqueeslapropiaNaturalezalaquehaprovocadoeldesastredeseguridad,noporellohayquedescuidarloeintentarpreveralmximoestetipodesituaciones.

    Hayotrotipodecatstrofesqueseconocencomoderiesgopocoprobable.Dentrodeestegrupotenemoslostaquesnucleares,impactosdemeteoritos,etc.yque,aunquesesabequeestnah,lasprobabilidadesdequesedesencadenensonmuybajasyenprincipionosetomanmedidascontraellos.

    Yahemosexplicadoelconceptodeamenazafsica.Vamosaconocerahoraculessonlasprincipalesamenazasfsicasdeunsistemainformtico.

    Tiposdeamenazasfsicas

    Lasamenazasfsicaslaspodemosagruparenlasproducidaspor:

    1. Accesofsico

    Hayquetenerencuentaquecuandoexisteaccesofsicoaunrecursoyanoexisteseguridadsobrel.Suponeentoncesungranriesgoyprobablementeconunimpactomuyalto.

    Amenudosedescuidaestetipodeseguridad.

    Elejemplotpicodeestetipoeseldeunaorganizacinquedisponedetomasderedquenoestncontroladas,sonlibres.

    2. Radiacioneselectromagnticas

    Sabemos que cualquier aparato elctrico emite radiaciones y que dichas radiaciones sepueden capturar y reproducir, si se dispone del equipamiento adecuado. Por ejemplo, unposibleatacantepodra'escuchar'losdatosquecirculanporelcabletelefnico.

    Esunproblemaquehoydacon lasredeswifi desprotegidas,porejemplo,vuelveaestarvigente.

    3. Desastresnaturales

    Respectoaterremotoselriesgoesreducidoennuestroentorno,yaqueEspaanoesunazonassmicamuyactiva.Perosonfenmenosnaturalesquesiseprodujerantendranungranimpactoynosoloentrminosdesistemasinformticos,sinoengeneralparalasociedad.

    Siempre hay que tener en cuenta las caractersticas de cada zona en particular. LasposibilidadesdequeocurraunainundacinsonlasmismasentodaslasregionesdeEspaa.

    Pg.15de18

  • Hayqueconocerbienelentornoenelqueestnfsicamentelossistemasinformticos.

    4. Desastresdelentorno

    Dentrodeestegrupoestaran incluidossucesosque, sin llegaraser desastresnaturales,puedentenerunimpactoigualdeimportantesinosedisponendelasmedidasdesalvaguardalistasyoperativas.

    PuedeocurrirunincendioounapagnynotenerbiendefinidaslasmedidasatomarenestassituacionesosimplementenoteneroperativoelSAIquedeberaresponderdeformainmediataalcortedesuministroelctrico.

    Descripcindealgunasamenazasfsicas

    VeamosalgunasamenazasfsicasalasquesepuedeversometidounCPDyalgunasugerenciaparaevitarestetipoderiesgo.

    Poraccionesnaturales:incendio,inundacin,condicionesclimatolgicas,sealesderadar,instalacioneselctricas,ergometra,

    Poraccioneshostiles:robo,fraude,sabotaje,...

    Por control de accesos: utilizacin de guardias, utilizacin de detectores de metales,utilizacindesistemasbiomtricos,seguridadconanimales,proteccinelectrnica,...

    Comosepuedecomprobar,evaluarycontrolarpermanentementelaseguridadfsicadeledificioquealbergaelCPDeslabaseparacomenzaraintegrarlaseguridadcomounafuncinprimordialdentrodecualquierorganismo.

    Tenercontroladoelambienteyaccesofsicopermite:

    disminuirsiniestros

    trabajarmejormanteniendolasensacindeseguridad

    descartarfalsashiptesissiseprodujeranincidentes

    tenerlosmediosparalucharcontraaccidentes

    Lasdistintasalternativasenumeradassonsuficientesparaconocerentodomomentoelestadodelmedioenelquesetrabajayastomardecisionesenbasealainformacinofrecidaporlosmediosdecontroladecuados.

    Estasdecisionespuedenvariardesdeelconocimientodelareasquerecorrenciertaspersonashastalaextremodeevacuareledificioencasodeaccidentes.

    Amenazaslgicas

    Elpuntomsdbildeunsistemainformticosonlaspersonasrelacionadasenmayoromenormedidacon l. Puede ser inexperiencia o falta de preparacin, o sin llegar a ataques intencionadospropiamente,simplementesucesosaccidentales.Peroque,encualquiercaso,hayqueprevenir.

    Entrealgunosdelosataquespotencialesquepuedensercausadosporestaspersonas,encontramos:

    Ingeniera social: consiste en la manipulacin de las personas para que voluntariamenterealicenactosquenormalmentenoharan.

    ShoulderSurfing:consisteen"espiar"fsicamentealosusuariosparaobtenergeneralmenteclavesdeaccesoalsistema.

    Masquerading:consisteensuplantarlaidentidaddeciertousuarioautorizadodeunsistemainformticoosuentorno.

    Basureo:consisteenobtenerinformacindejadaenoalrededordeunsistemainformticotraslaejecucindeuntrabajo.

    Pg.16de18

  • Actos delictivos: son actos tipificados claramente como delitos por las leyes, como elchantaje,elsobornoolaamenaza.

    Atacanteinterno:lamayoramenazaprocededepersonasquehantrabajadootrabajanconlos sistemas. Estos posibles atacantes internos deben disponer de los privilegio mnimos,conocimientoparcial,rotacindefuncionesyseparacindefunciones,etc.

    Atacante externo: suplanta la identidad de un usuario legtimo. Si un atacante externoconsiguepenetrarenelsistema,harecorridoel80%delcaminohastaconseguiruncontroltotaldeunrecurso.

    Algunasamenazaslgicas

    Lasamenazaslgicascomprendenunaseriedeprogramasquepuedendaarelsistemainformtico.Yestosprogramashansidocreados:

    deformaintencionadaparahacerdao:softwaremaliciosoomalware(malicioussoftware)

    porerror:bugsoagujeros.

    Enumeramosalgunasdelasamenazasconlasquenospodemosencontrar:

    1. Softwareincorrecto

    Sonerroresdeprogramacin(bugs)ylosprogramasutilizadosparaaprovecharunodeestosfallosyatacaralsistemasonlosexploits.Eslaamenazamshabitual,yaqueesmuysencilloconseguirunexploityutilizarlosintenergrandesconocimientos.

    2. Exploits

    Sonlosprogramasqueaprovechanunavulnerabilidaddelsistema.Sonespecficosdecadasistemaoperativo,delaconfiguracindelsistemaydeltipoderedenlaqueseencuentren.Puedenhaberexploitsdiferentesenfuncindeltipodevulnerabilidad.

    3. Herramientasdeseguridad

    Puedeserutilizadaparadetectarysolucionarfallosenelsistemaounintrusopuedeutilizarlasparadetectar esosmismosfallosyaprovecharparaatacarel sistema.HerramientascomoNessus o Satan pueden ser tiles pero tambin peligrosas si son utilizadas por crackersbuscandoinformacinsobrelasvulnerabilidadesdeunhostodeunaredcompleta.

    4. Puertastraseras

    Duranteeldesarrollodeaplicacioneslosprogramadorespuedenincluir'atajos'enlossistemasdeautenticacinde la aplicacin. Estos atajos se llamanpuertas traseras, y conellos seconsiguemayorvelocidadalahoradedetectarydepurarfallos.Siestaspuertastraseras,unavezlaaplicacinhasidofinalizada,nosedestruyen,seestdejandoabiertaunapuertadeentradarpida.

    5. Bombaslgicas

    Sonpartesdecdigoquenoseejecutanhastaquesecumpleunacondicin.Alactivarse,lafuncinquerealizannoestarelacionadaconelprograma,suobjetivoesescompletamentediferente.

    6. Virus

    Secuenciadecdigoqueseincluyeenunarchivoejecutable(llamadohusped),ycuandoelarchivoseejecuta,elvirustambinseejecuta,propagndoseaotrosprogramas.

    7. Gusanos

    Programacapazdeejecutarseypropagarseporsmismoatravsderedes,ypuedellevarvirusoaprovecharbugsdelossistemasalosqueconectaparadaarlos.

    Pg.17de18

  • 8. CaballosdeTroya

    LoscaballosdeTroyasoninstruccionesincluidasenunprogramaquesimulanrealizartareasqueseesperandeellas, peroenrealidadejecutan funcionesconel objetivodeocultar lapresenciadeunatacanteoparaasegurarselaentradaencasodeserdescubierto.

    9. Spyware

    Programas espaque recopilan informacinsobre unapersonao unaorganizacinsin suconocimiento.Estainformacinluegopuedesercedidaovendidaaempresaspublicitarias.Puedenrecopilarinformacindeltecladodelavctimapudiendoasconocercontraseaondecuentasbancariasopines.

    10. Adware

    Programasqueabrenventanasemergentesmostrandopublicidaddeproductosyservicios.Sesueleutilizarparasubvencionarlaaplicacinyqueelusuariopuedabajarlagratisuobtenerundescuento.Normalmenteelusuarioesconscientedeelloydasupermiso.

    11. Spoofing

    Tcnicasdesuplantacindeidentidadconfinesdudosos.

    12. Phishing

    Intentaconseguirinformacinconfidencialdeformafraudulenta(conseguircontraseasopinesbancarios)haciendounasuplantacindeidentidad.Paraelloelestafadorsehacepasarporunapersonaoempresadelaconfianzadelusuariomedianteuncorreoelectrnicooficialomensajerainstantnea,ydeestaformaconseguirlainformacin.

    13. Spam

    Recepcin de mensajes no solicitados. Se suele utilizar esta tcnica en los correoselectrnicos,mensajerainstantneaymensajesamviles.

    14. Programasconejoobacterias

    Programas quenohacennada, solo se reproducen rpidamente hasta queel nmerodecopiasacabaconlosrecursosdelsistema(memoria,procesador,disco,etc.).

    15. Tcnicassalami

    Roboautomatizadodepequeascantidadesdinerodeunagrancantidadorigen.Esmuydifcilsudeteccinysesuelenutilizarparaatacarensistemasbancarios.

    Pg.18de18


Top Related

Introduccion Informatica I
Introduccion Informatica I
INFORMATICA CONCEPTOS BASICOS
INFORMATICA CONCEPTOS BASICOS
Introduccion a la informatica
Introduccion a la informatica
CONCEPTOS BASICOS INFORMATICA
CONCEPTOS BASICOS INFORMATICA
Conceptos básicos informatica
Conceptos básicos informatica
Introduccion informatica
Introduccion informatica
Introduccion A Informatica
Introduccion A Informatica
introduccion seguridad informatica
introduccion seguridad informatica